Ваше 7-шаговое руководство, чтобы сделать соблюдение GDPR немного более управляемым

Опубликовано: 4 Апреля, 2023
Ваше 7-шаговое руководство, чтобы сделать соблюдение GDPR немного более управляемым

Общий регламент по защите данных Приближается день «Д», и многие компании находятся в состоянии паники. Мы знаем, что компании должны соответствовать требованиям к 25 мая 2018 года, но как именно мы этого добьемся? Существует путаница в отношении того, с чего начать, и паника в отношении количества задач, которые необходимо решить до достижения крайнего срока. Да, это может показаться ошеломляющим, но выполнение нескольких шагов может дать толчок в правильном направлении и сделать путь к соблюдению GDPR немного более управляемым.

GDPR отдает приоритет защите данных для бизнеса

Это в новостях, в газетах и в наших залах заседаний. Это очень актуальный разговор в настоящее время и не зря. Все должны соответствовать требованиям GDPR по состоянию на вчерашний день.

Понимание нескольких основных аспектов регулирования может помочь вам лучше понять GDPR и важность соблюдения GDPR. Они есть:

  • Последствия несоблюдения серьезны (отсюда и паника!).
  • Подшипник выходит за пределы ЕС. Каждое взаимодействие с гражданином ЕС требует соблюдения (ведение бизнеса за пределами ЕС не дает вам «карту выхода из тюрьмы»!).
  • Необходимо глубокое знание данных, которыми мы управляем и обрабатываем, а также потоков данных.
  • Мы больше не можем обойтись без специальной обработки. Мы должны иметь контроль над нашими данными и процессами и всегда иметь возможность доказать, что это так.
  • Требование к сотруднику по защите данных (DPO). Вам это нужно?
  • Поймите свои данные, поймите свои процессы и убедитесь, что все, что вы делаете, делается намеренно и по уважительной причине. (Если не нужен — избавьтесь от него! В качестве альтернативы может потребоваться капитальный ремонт.)
  • Субъект данных (и его права) лежит в основе всего!

Прежде чем принимать какие-либо радикальные меры, такие как удаление функциональных систем из-за их несоответствия (например), рассмотрите свои настройки и переоцените меры для безопасной обработки личных данных. Важно помнить, что GDPR касается не только защиты данных, но и защиты процессов.

Несмотря на сложность, стремление к соответствию GDPR также можно рассматривать как возможность сделать безопасность данных приоритетной и усилить контроль над управлением и управлением данными. Итак, что нам нужно сделать?

Шаг первый: аудит обнаружения данных

Всеобъемлющий аудит обнаружения данных всегда является хорошей отправной точкой (также хорошим шагом для завершения — другими словами, пересмотрите, а затем повторите). Это средство для оценки ваших данных, систем и процессов. Это средство обнаружить пробелы, чтобы затем исправить ситуацию. Аудиту подлежат целые системы, включая модели данных внутри каждой системы.

Шаг второй: классифицируйте данные

Целью первоначального аудита должно быть выявление следующего:

Все источники данных должны быть доступны (независимо от используемых систем), все источники данных должны быть расположены (для аудита), чтобы можно было извлечь, классифицировать и классифицировать все личные данные. Все персональные данные, независимо от того, структурированные они или неструктурированные, находящиеся в покое или в движении, должны быть проверены, чтобы с ними можно было правильно обращаться. Огромные объемы данных требуют, чтобы процесс каталогизации данных был автоматизирован, а не вручную, чтобы своевременно выполнять требования соответствия. Должна быть составлена инвентаризация персональных данных.

Крайне важно, чтобы вы точно знали, где находятся данные в любой момент времени. Это важно не только для создания портфолио для оценки и управления рисками безопасности обрабатываемых вами персональных данных, но и для соблюдения GDPR. Организация должна быть в состоянии доказать местонахождение данных, которые они хранят.

Вы должны знать причины обработки данных и иметь на это прямое согласие.

Чтобы соответствовать требованиям, все направления бизнеса должны понимать правила. Политики и правила конфиденциальности должны быть задокументированы и доведены до сведения всех сотрудников компании. Доступ к персональным данным должен регулироваться должным образом. Персональные данные должны быть доступны только тем, у кого есть соответствующие права, признанные в ролях и определениях, изложенных в модели управления. Достигнув этого, можно достичь требуемого уровня контроля.

Шаг третий: осознайте свою роль

У вас есть широкое понимание вашего бизнеса, данных, которые вы обрабатываете, и систем, которые вы используете. Должно быть проще определить вашу роль в соответствии с регламентом. Если вы определяете, как обрабатываются личные данные, и решаете, почему они обрабатываются, то вы контролируете эти данные, и это делает вас «контролером данных».

Шаг четвертый: Сотрудник по защите данных

Многим организациям потребуется назначить DPO. Вы должны определить, попадаете ли вы в эту категорию. Знающий DPO (с техническим и юридическим образованием) полезен для организации, поскольку он сможет дать рекомендации в отношении регулирования, юридических обязательств и бизнес-приложений.

Шаг пятый: Защита личных данных

После того, как данные были классифицированы, вы должны иметь полное представление о типе данных, которые вы обрабатываете, и, следовательно, о том, как данные должны быть защищены. Подумайте, как вы защищаете личные данные в настоящее время (если вообще) и внесите необходимые изменения или внедрите необходимые процедуры.

Защита конфиденциальности личных данных должна быть приоритетом. Может потребоваться выполнить оценку воздействия на конфиденциальность (PIA) политик, чтобы оценить жизненные циклы данных и потенциальное влияние на конфиденциальность отдельных лиц.

Особое внимание следует уделить особым требованиям GDPR, таким как обеспечение переносимости данных, право на получение информации, право на забвение и правильный способ уничтожения данных. Должны существовать необходимые процедуры и средства контроля для поддержки прав субъекта данных.

Методы защиты данных необходимы для личных данных во всех формах и местах, в том числе в локальной среде и в облаке, резервных копиях данных, архивных данных и создаваемых данных. Необходимо обеспечить безопасность всего жизненного цикла данных.

Для защиты персональных данных, за которые вы несете ответственность: могут использоваться шифрование, анонимизация и псевдонимизация. Используемый метод зависит от прав пользователя и использования. Оставьте только то, что вам нужно, и избавьтесь от всех ненужных личных данных — это просто, если у вас их нет, нет необходимости их защищать!

Шаг шестой: Докажите ответственность

Важно, чтобы вы могли продемонстрировать ответственность за все ваши действия по обработке данных. Прозрачность также должна быть продемонстрирована в отношении обработки персональных данных. Это необходимо для текущей деятельности, а также для будущей обработки. Согласие субъекта данных должно быть явным и задокументировано.

Ведите учет событий и процедур, предпринимаемых для продвижения вашего бизнеса к соответствию требованиям. Ведение учета того, что бизнес делает для достижения соответствия, помогает продемонстрировать бизнес-подотчетность. Важно показать, что вы делаете то, что требуется, даже если это находится на ранних стадиях. Важно показать, что предпринимаются усилия и что процесс соблюдения требований начат.

Шаг седьмой: повторный аудит

После определения и внедрения необходимых средств контроля следует провести повторный аудит. Благодаря этому вы сможете составлять отчеты, чтобы доказать, что вы приняли необходимые меры для соблюдения. Теперь вы должны быть в состоянии доказать, что знаете, какие личные данные у вас есть, как они используются, почему они используются, кто может получить к ним доступ и где они находятся в вашей бизнес-среде. Вы должны быть в состоянии доказать, что вы можете должным образом управлять и защищать свои данные и процессы, тем самым обеспечивая конфиденциальность персональных данных субъектов данных в любое время.

Также может потребоваться исправление и обновление, если будут обнаружены дополнительные пробелы или несоответствия.

Вам нужен GDPR, а GDPR нужен вам!

Все, кто обрабатывает персональные данные граждан ЕС, независимо от того, где находится штаб-квартира компании, должны соответствовать GDPR. Время быстро уходит! Крайне важно сейчас сосредоточиться на работе, которая необходима для эффективного и действенного решения проблемы соответствия. Предполагается, что 25 мая 2018 года половина предприятий еще не будет полностью соответствовать требованиям, несмотря на все внимание к регулированию в настоящее время. Отныне безопасность должна быть в центре всего, что связано с данными (идеями, процессами и приложениями) для бизнеса. Те предприятия, которые не имеют правильных процедур или не могут хотя бы доказать, что они приложили некоторые усилия, столкнутся с трудными временами в мае следующего года.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023